lea*_*y16 10 javascript security api node.js
因此,我一直试图弄清楚Google Analytics如何避免欺骗.当然,当您注册帐户时,他们会通过上传文件来验证您是否拥有该域.但是,您还会获得一些带有唯一公共代码的脚本标记(替换为下面的"XXXXXXX").什么阻止某人复制该代码,欺骗请求标头,并假装成为我的网站,遵循谷歌的curl身份验证策略?
<script type="text/javascript">
var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'XXXXXXX']);
_gaq.push(['_trackPageview']);
(function() {
var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
})();
</script>
我问的原因是因为我正在尝试创建一个类似的JavaScript插件,将我的网站数据暴露给参与的网站("客户").我不确定在客户端服务器端没有私钥的情况下如何才能获得此功能.这种情况很糟糕,因为我真的很想"整合谷歌分析".有什么想法吗?
听起来这个问题确实与谷歌分析无关(我真的建议你从你的问题中删除它,因为我认为它误导了大多数人并且没有让你更接近你的答案).
您有一些数据,并且您只想与选定的网站共享它.除了使用某种授权方案保护数据之外,没有其他方法可以做到这一点,然后为选定的网站提供某种密码或密钥,让他们可以访问它,而其他没有提供密钥的人则不会访问数据.即使这种方案只有在访问数据的代码位于服务器上的私有区域(密钥/密码可以受到保护)而不是浏览器中的javascript时才有效.
至于GA欺骗(我认为这与你的真实问题没有任何关系),我怀疑谷歌并不担心这一点,因为除了一般的GA拒绝服务攻击(我怀疑他们)确实有防范),为其他人的网站录制点击有什么好处?无论是谁,都无法访问数据,因为数据位于其他人的GA帐户中.我想有人可能会因为某人试图搞砸他们的GA数字而烦恼,但如果没有更多有利可图的动机,可能没有很多人试图这样做.
| 归档时间: |
|
| 查看次数: |
2009 次 |
| 最近记录: |